加密管理系统加密原理

一、关于敏捷安全卫士管理系统的加密原理及技术体系

敏捷安全卫士管理系统是采用经国家密码管理局批准的SCB2密码算法，最高加解密速度可达1.4Gbps；采用高安全强度的智能卡技术，双芯片解决方案，支持有驱动与无驱动两种模式。

(一)、SZD13-A

SZD13-A是采用单芯片技术，无需外接USB芯片就可以独立完成高速的通讯运算，主要功能实现

与SZD13智能密码钥匙基本一致。芯片采用32位RISC处理器，5级流水指令，高处理能力。采

用RSA运算协处理器，可实现高速RSA密钥生成及签名认证，USB通信采用批量传输，符合USB1.1

协议，传输速度快。

实现了RSA公钥算法以及国家密码管理局批准认可的SSF33对称算法，比SZD13智能密码钥匙运

算速度及性能指标高，实现了智能KEY通用开发接口，可以应用于各类网络中的客户端以及一些

安全性要求较高的场合，例如金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业

及领域。

(二)、SZD13-B/SZD13-C

1.SZD13-B ：我敏捷科技股份有限公司申报的就是“SZD13－A智能密码钥匙改进型”，已通过了

国家密码管理局的产品测试与安审，被正式命名为“SZD13-B智能密码钥匙”，SZD13-B智能

密码钥匙采用SCB2算法，属城乡通信专用型。

2.SZD13-C

用于通用领域的SZD13-B智能密码钥匙，该款产品采用SCB2通用型算法，主要通过基于32位

RISC处理器的芯片完成，5级流水指令，高处理能力；RSA运算协处理器，可实现高速RSA密钥

生成及签名认证。USB通信采用批量传输，符合USB1.1协议，传输速度快。可广泛应用于金融、税务、证券、电子商务、电子政务、系统集成、VPN等行业及领域。

(三)、SZD13-D/SZD13-E

同时支持SSF33算法及SCB2算法的智能密码钥匙产品，通过了国家密码管理局的审查、测试，分

别被命名为“SZD13-D智能密码钥匙”和“SZD13-E智能密码钥匙”。

这两款新产品是基于敏捷科技股份有限公司原有的SZD13-B智能密码钥匙开发完成的，具有独立

的知识产权。在设计上采用了将USB控制器和处理器集成到单芯片的模式；在功能上，这两款产

品同时支持SSF33算法和SCB2算法，可在任何具有USB接口的计算机上使用。

这两款产品的不同之处在于：SZD13-D智能密码钥匙主要面向县乡通信专用，而SZD13-E智能密

码钥匙可广泛应用于金融、电子政务、电子商务等对安全性要求较高的行业，主要用来存储标志

持有者身份、权限的信息，使用灵活方便，便于携带。

二、敏捷安全卫士管理系统的安全性分析

(一)、加密算法安全性分析

1.对称加密算法：国家主管部门批准的专用密码算法（SCB2），密钥长度512比特。

2.公开密钥算法：对称密钥分发、更新、删除管理过程中采用了RSA公开密钥算法。密钥长度2048

比特。

(二)、密钥管理安全性分析

1.对称密钥存放：敏捷安全卫士管理系统根对称密钥存放在加密狗内，此加密狗安全模块使用了第

二代安全引擎，采用了先进的安全算法，可以有效防止黑客进行静态分析和动态

跟踪。

2.对称密钥分发：敏捷安全卫士软件对称密钥文件分发过程采用网络发送方式，对称密钥在网络上

传递过程中采用了公开密钥算法RSA进行加密，并且采用了硬件ID识别绑定方式，

确保每一台机器的对称密钥文件只能以密文的方式存放在磁盘，且只能在本机正

常使用。

3.对称密钥使用：对称密钥的使用只在受控文件打开、存盘时解密到内存中。在允许脱机的其他时

间密钥一直以加密形式存放在磁盘。

4.对称密钥文件销毁：为考虑加、解密的速度，敏捷安全卫士软件采用了缓存对称密钥文件的方式，

但该文件有一定的生命周期，在允许脱机使用的情况下，脱机时间内，该文件是

可以被解密的；超过脱机时间该文件将被死锁，只有到下次联网注册后，才能被

重新授权打开。

(三)、内存明文保护安全性分析

1.复制/粘贴操作：很多应用程序中都有“复制/粘贴”的功能，为了避免利用“复制/粘贴”功能，

把一个被保护的文件内容复制下来粘贴到一个不被保护的文件中，然后通过带走不被保护的文件的方式，窃取被保护文件的内容的泄密行为，DG对复制/粘贴功能做了相关安全处理。

当DG客户端配置不允许复制/粘贴时，DG在这里主要遵循的一个原则可以简单概括为“许进不许出”，就是任何一个被保护的文件内容都不允许复制/粘贴到一个不被保护的文件中，一个不被保护的文件内容则可以复制/粘贴到一个被保护的文件中，而被保护的文件相互之间的复制/粘贴不受影响；当配置允许复制/粘贴时，则不做任何控制，所有的文件都可以相互复制/粘贴。

2.OLE操作：当配置不允许复制/粘贴时，DG还是遵循“许进不许出”的原则，就是任何一个被保护

的文件内容都不允许通过OLE操作到一个不被保护的文件中，一个不被保护的文件内容则可以通过OLE操作到一个被保护的文件中，而被保护的文件相互之间的OLE操作不受影响。

3.硬拷贝操作：硬拷贝指的是通过键盘的“PrintScreen”键，把一个文件的内容屏打下来粘贴到另

一个文件中。当配置不允许复制/粘贴时，一个被保护的文件内容是无法通过“PrintScreen”键屏打下内容的；当配置允许复制/粘贴时，“PrintScreen”键功能可以正常使用。

4.QQ、录屏软件截屏操作：现在的QQ软件、还有其他很多截屏工具软件有截屏的功能，通过这个功

能可以把一个文件的内容截取成图片保存下来，DG针对此类软件也做了相应的防范。当打开一个被保护文件时，启动QQ的截屏功能或其他的截屏软件，此时屏幕变为黑屏，截取出的图片均为黑屏图片，无法截取到真实的文件内容。

5.拖拽操作：现今的部分软件可以通过拖拽操作把文件内容拖拽到其他的文件中，或者拖拽到一个文

件夹中形成文件片段，比如Office办公软件中的word，如果对一个受保护的文件进行这样的操作可能会导致泄密，所以DG对此类操作也做了防范。当配置不允许复制粘贴时，一个被保护文件中的内容不能够通过拖拽操作拖拽到一个不被保护的文件中，或者产生文件片段，而被保护文件之间的相互操作不受影响。

(四)、解密审计安全性分析

1.外发解密日志审计：通过外发流程发出的外发解密申请及审批，可通过“审计”功能查看到外发的

所有流程或者特定申请人、接收人、申请日期以及流程中所经过的所有审批人和当前流程所处的状态：“完成”、“审批中”。所有的操作申请，审批步骤均有据可查。一旦出现人为泄密的情况（如恶意通过审批，盗取文件），可通过日志审计查询到具体步骤、时间、申请人、接收人、审批人、状态，以便追究责任到个人。

2.外发解密内容审计：申请外发解密文件的具体信息可通过“查看”详细信息查看外发文件的具体信

息，包括“接收人”、“生命周期”（具体包括是否明文外发，控制外发文件次数、天数，是否允许打印、修改等）、“文件列表”（包括申请外发的文件，外发状态（“完成”，“审批中”））、“申请意见”，“审批记录”（具体由哪些人审批，审批是否通过，审批时间）。通过这些信息可追查到出现泄密问题的文件内容，及相关申请人、审批人等信息。

三、关于透明加密的一些知识